L'APPROFONDIMENTO

Trattamenti di dati personali mediante app mobile: ecco come individuare correttamente i ruoli privacy

I trattamenti di dati personali mediante app implicano una serie di rischi in quanto effettuati su una notevole quantità di dati e poi perché questi stessi dati vengono spesso ulteriormente elaborati dall’app stessa per fornire nuovi servizi all’utente. Nel ciclo di vita dell’app è dunque fondamentale definire i ruoli privacy e identificare correttamente il titolare del trattamento. Ecco alcune utili linee guida

13 Dic 2019
Z
Selina Zipponi

Privacy Specialist


Uno dei trattamenti di dati personali più diffusi è quello realizzato mediante app mobili. L’utilizzo delle applicazioni su dispositivo mobile implica tuttavia una serie di rischi in quanto, in primo luogo, comporta il trattamento di una notevole quantità di dati personali (quelli inseriti direttamente dall’utente durante la registrazione o utilizzando le funzionalità dell’applicazione, quelli eventualmente raccolti tramite sensori, quelli raccolti dal dispositivo su cui è installata l’applicazione).

In più, i dati personali generalmente sono ulteriormente elaborati dall’applicazione per fornire servizi nuovi all’utente (spesso, senza una vera comprensione da parte dell’utilizzatore in merito a ciò che accade ai suoi dati).

Trattamenti di dati personali mediante app: linee guida

Vari sono i documenti elaborati su questo argomento dai Garanti Europei, sensibili al tema. In particolare, già nel 2013 l’ex Gruppo di Lavoro art. 29 (ora EDPB) ha fornito importanti linee guida nel parere 2/2013 sulle applicazioni per dispositivi intelligenti.

Più di recente, si sono espressi il Garante francese, con un documento dedicato alle applicazioni sanitarie (“Applications mobiles en santé et protection des donneés personnelles: les questions à se poser” del 17 agosto 2018), che però fornisce importanti spunti riferibili a tutte le applicazioni, e la Agencia Española de protección de datos (“El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles”).

I documenti citati forniscono importanti strumenti all’operatore, specie con riferimento al requisito del consenso, alle misure di sicurezza, agli obblighi di informativa e trasparenza verso l’interessato, ai tempi di conservazione dei dati.

Ciononostante, se su alcuni temi non vi sono dubbi (ad esempio, su come redigere e gestire l’informativa ex art. 13 GDPR all’interno dell’applicazione e dell’app store) l’universo delle app lascia spazio anche a temi più critici, quali la definizione dei ruoli dei tanti soggetti che agiscono nel ciclo di vita dell’applicazione (proprietario, sviluppatore, sponsor, soggetto che la commercializza, utilizzatore ecc.) e l’individuazione del titolare del trattamento (quindi, di chi deve adempiere ai vari obblighi previsti dalla normativa).

Tale questione, nonostante sia affrontata, almeno parzialmente, nei provvedimenti citati, risulta spesso, nella pratica, difficile da risolvere. Ed è evidente come la sua risoluzione, di fondamentale importanza, sia anche prodromica a tutto il resto.

Come potrebbero, infatti, i vari soggetti che agiscono nel processo di sviluppo e gestione delle app dare attuazione al tanto sottolineato principio di trasparenza, ove non abbiano innanzitutto compreso con certezza quali siano i loro ruoli e le loro responsabilità?

Come fornire all’interessato un’informativa compliant all’art. 13 GDPR, completa della essenziale “chiara identificazione del titolare del trattamento”, se prima le parti non hanno identificato con precisione chi è, il titolare, per ciascun trattamento?

Non vi può certo essere trasparenza se prima non vi è chiarezza.

In effetti, nella gestione dei rapporti commerciali e contrattuali che ruotano intorno alle app, allorché le numerose parti (e con loro gli operatori del diritto) si apprestino a definire le rispettive responsabilità, non sempre è di immediata comprensione chi “decide le finalità e i mezzi dl trattamento” (e quindi riveste il ruolo di titolare del trattamento) o chi “tratta i dati per conto del titolare del trattamento (e quindi assume la qualifica di responsabile del trattamento).

Se già nel 2010 il Gruppo di lavoro art. 29 nel parere n. 1 sui concetti di titolare e responsabile del trattamento aveva riconosciuto come l’applicazione concreta di tali concetti stesse diventando sempre più̀ difficile, a causa della crescente complessità dei contesti in cui erano utilizzati, e della tendenza alla differenziazione organizzativa, associata allo sviluppo delle tecnologie dell’informazione e della comunicazione, di certo oggi, a distanza di quasi 10 anni, non potremmo sostenere che tale complessità sia diminuita.

E già il citato parere evidenziava come non vi possa essere protezione se non vi è chiarezza: in presenza di più soggetti, se pur responsabili, di cui non si sa “chi deve fare cosa”, c’è il rischio che nessuno faccia nulla.

In questi contesti, quindi, l’interessato rischia di trovarsi come un bambino in un parco giochi, dove ci siano contemporaneamente ad accudirlo mammà papà e nonni: ognuno pensa che “stia facendo l’altro” e il bambino si fa male perché non lo controlla nessuno.

Trattamenti di dati personali mediante app: i soggetti privacy

Il citato parere 1/2010, come noto, chiarisce quali sono i criteri a cui attenersi nell’individuazione del titolare del trattamento dei dati personali (competenza giuridica, competenza implicita, influenza effettiva), gli elementi da valorizzare nella valutazione (controllo effettivo, immagine data all’esterno, legittimo affidamento degli interessati) e il criterio per cui la valutazione circa la determinazione della finalità deve eventualmente prevalere rispetto a quella sulla determinazione dei mezzi del trattamento (vedasi in tal senso anche il parere 05/2012 del WP 29 sul cloud computing).

Le indicazioni di cui sopra sono state peraltro confermate nelle recenti Linee Guida dell’European Data Protection Supervisor (EDPS) sui concetti di titolare, responsabile e contitolare ai sensi del Regolamento (UE) 2018/1725.

Il documento, datato 7 novembre 2019, ha lo scopo di fornire una guida alle istituzioni ed organi dell’Unione Europea relativamente ai concetti di titolare, responsabile e contitolare del trattamento, come definiti nel Regolamento 2018/1725 sul trattamento dei dati personali da parte di tali organi ma, vista la corrispondenza degli elementi fondanti di tali concetti con quelli di titolare, responsabile e contitolare ai sensi del GDPR, fornisce indicazioni utili per l’applicazione pratica anche di questi ultimi.

Le linee guida ribadiscono come la definizione di titolare del trattamento sia “funzionale”: è tale il soggetto che decide le finalità (il “cosa”) ed i mezzi (il “come”) del trattamento e, ai fini di tale valutazione, bisogna considerare perché il trattamento è in corso, chi ne beneficia, chi vi ha dato inizio.

Dall’altro lato, l’essenza del responsabile è rappresentata dal trattare i dati “per conto di” un titolare del trattamento, servendo i suoi interessi e seguendo le sue istruzioni, quantomeno relativamente alle finalità ed agli elementi essenziali dei mezzi del trattamento.

Ma come fare ad applicare i criteri sopra indicati nel complesso settore delle app?

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Pensiamo a ciò che accade nella realtà, nella fase in cui una app è sviluppata: spesso esiste un soggetto committente, che intende commercializzare il prodotto come proprio brand, ma che magari opera in altro settore, ed un soggetto fornitore terzo, che lo sviluppa su indicazione del committente, ma che spesso è l’unico ad avere accesso ai dati, specie nella fase di test.

Da un lato, quindi, un soggetto che “decide” il trattamento, ma che non ha accesso ai dati, e dall’altro un soggetto che agisce per conto, ma ha l’esclusiva disponibilità dei dati (situazione che si verifica in particolare nella fase di test).

In questi casi, chi è il titolare del trattamento? Da un lato si potrebbe sostenere che il fornitore/sviluppatore, essendo l’unico con accesso ai dati, ricopra il ruolo di titolare esclusivo (o, a seconda dei casi, di titolare autonomo) del trattamento, indipendentemente dal fatto che poi la commercializzazione del prodotto sia effettuata da un altro soggetto.

Dall’altro lato, invece, si potrebbe adottare la tesi estensiva del concetto di titolare del trattamento della giurisprudenza della Corte di Giustizia dell’Unione Europea (vedasi la nota sentenza sull’amministratore della fan page di Facebook), e considerare comunque titolare del trattamento il committente, in quanto ha deciso di utilizzare quel tipo di app per il trattamento, indipendentemente dal fatto che abbia accesso ai dati (proprio come, in quella sentenza, era stato considerato titolare del trattamento l’amministratore della fan page per il solo fatto di aver deciso alcune impostazioni delle funzionalità offerte da Facebook, pur ricevendo da quest’ultima solo dati anonimizzati relativi ai cookie).

In tal senso, si consideri che anche le sopra citate linee guida dell’EDPS del 7 novembre 2019 chiariscono come un soggetto non debba avere necessariamente accesso ai dati personali per poter essere considerato titolare del trattamento, essendo sufficiente che determini finalità e mezzi del trattamento, che abbia influenza sul trattamento determinandone l’inizio (ed essendo nella posizione di determinarne la cessazione), o che riceva statistiche anonime basate sui dati personali trattati da parte di un altro soggetto.

Ma ancora, il processo si complica quando, dopo la fase di sperimentazione, test, e sviluppo (dove le parti in causa sono appunto generalmente due) entra in scena un ulteriore soggetto: l’utilizzatore. Tale soggetto, infatti, potrebbe inserire all’interno dell’app dati personali del cui trattamento ha la titolarità per altra causa e poggiando su altra base, e potrebbe farlo semplicemente scegliendo di utilizzare (come mezzo di gestione dei dati del cui trattamento è appunto è titolare) proprio lo strumento dell’app.

In tal caso, se è evidente che lo sviluppatore (o il committente) sarà titolare del trattamento relativamente ai dati di registrazione dell’utente, non può dirsi lo stesso per quanto riguarda i dati personali inseriti dall’utilizzatore (e scelti da lui).

Si pensi all’ipotesi di un medico che utilizzi l’app ai fini di archiviazione e consultazione, e che vi inserisca i dati dei pazienti.

In tal caso lo sviluppatore/fornitore è sicuramente il soggetto in grado di garantire la sicurezza informatica e fisica del dato, ma la finalità è decisa dal medico, che sceglie quali dati inserire, che funzionalità usare (e con chi condividerli, nel caso in cui l’app consenta la condivisione).

Lo stesso dicasi nell’ipotesi, ad esempio, di un agente di viaggi che utilizzi una app per la gestione dei clienti. In tali casi, pare corretto considerare titolare del trattamento, almeno per quella porzione di dati, l’utilizzatore (così come, nel caso considerato dal parere 1/2010 del WP 29, è l’utilizzatore della mail ad essere titolare del trattamento dei dati personali contenuti nel messaggio, mentre il fornitore del servizio di comunicazione elettronica è titolare del trattamento unicamente con riferimento ai dati di trasmissione e comunicazione).

È quindi necessario individuare con attenzione i ruoli e disciplinare con precisione le responsabilità delle parti all’interno dei contratti.

Vediamo come si sono espressi sul tema delle applicazioni mobili i garanti europei.

Il parere 2/2013 del Gruppo di lavoro articolo 29

Il parere 2/2013 del Gruppo di lavoro art. 29 evidenzia il rischio dalla frammentazione dei vari attori che agiscono all’interno del ciclo di vita dell’app e dedica il paragrafo 3.3. alla definizione dei ruoli, concentrandosi in particolare sulle seguenti figure: sviluppatori, proprietari, app store, produttori di sistemi operativi e dispositivi, altri soggetti terzi che possono essere coinvolti dalla raccolta e dal trattamento di dati personali da dispositivi intelligenti, quali fornitori di servizi analitici e pubblicità.

Tra tutti questi soggetti, le raccomandazioni del parere sono rivolte in particolare agli sviluppatori, in quanto sono ritenuti i soggetti che “esercitano il maggior controllo sulle precise modalità di trattamento o della presentazione di informazioni all’interno della app”.

In primo luogo, è quindi chiarito che per “sviluppatori” devono intendersi non solo i programmatori, o gli sviluppatori tecnici, ma anche i proprietari, ovvero le società che commissionano lo sviluppo di applicazioni e ne determinano le finalità.

Lo sviluppatore progetta il software, decide a quali dati accederà l’app tramite il dispositivo o attraverso altre fonti, e quindi, “nella misura in cui determina le finalità e i mezzi del trattamento” riveste il ruolo di titolare del trattamento.

Ciò vale anche qualora l’utilizzatore usi l’applicazione per finalità proprie o domestiche, per cui lo sviluppatore rimane titolare del trattamento effettuato per finalità proprie (es. accesso ai dati per fornire il servizio).

Tuttavia, il Gruppo di Lavoro art. 29 chiarisce che la responsabilità del titolare del trattamento può essere comunque limitata se i dati non vengono trattati al di fuori del dispositivo o se si sono adottate misure per “renderli anonimi in modo irreversibile e aggregati sul dispositivo stesso prima di lasciarlo”.

Sono poi considerati gli altri attori:

  • fornitore a cui lo sviluppatore (che, si ricordi, può essere il proprietario) commissioni l’effettivo trattamento dei dati (es. per l’archiviazione dei dati personali mediante cloud computing): tale soggetto agisce come responsabile del trattamento;
  • terzo a cui sia consentito l’accesso ai dati, ad es. per finalità pubblicitarie: in tal caso il terzo è titolare del trattamento, per le proprie finalità, congiuntamente allo sviluppatore, e dovrà quindi garantire l’adempimento dei relativi obblighi;
  • produttore del sistema operativo o del dispositivo: lo stesso è titolare del trattamento dei dati personali trattati per finalità proprie, come il funzionamento o la sicurezza del dispositivo (quali i dati di registrazione immessi dall’utente, o quelli creati automaticamente dal dispositivo stesso);
  • app store: se è richiesta la registrazione dell’utente per poter scaricare l’applicazione, sarà titolare del trattamento dei dati di registrazione, dei dati relativi all’eventuale pagamento, delle cronologie/dati di utilizzo. Al contrario, nel caso in cui sia consentito il download di un’applicazione da installare su dispositivo senza necessità di registrazione, lo store non sarà titolare del trattamento di alcun dato personale;
  • terzi, quali i fornitori di servizi analitici (che aiutano gli sviluppatori dando indicazioni sull’uso, la fruibilità e la popolarità delle applicazioni) oppure i fornitori di servizi di comunicazione (che si occupano del branding e degli aggiornamenti di sicurezza ecc.): se tali soggetti agiscono solo al fine di eseguire operazioni per il proprietario (trattando dati all’interno dell’ applicazione) possono essere inquadrati come responsabili del trattamento; se invece trattano dati anche per finalità proprie (ad esempio per fornire servizi aggiuntivi) devono essere considerati titolari.

Le linee guida dell’Autorità spagnola

Il Garante spagnolo, nel documento citato, non si esprime espressamente sui ruoli ma, indirettamente, fornisce spunti di interesse, in quanto una parte delle linee guida è dedicata a dare direttive ai titolari del trattamento che incarichino terze parti dello “sviluppo, messa in produzione e sfruttamento” delle app, e che abbiano accesso a dati personali.

In tal caso, oltre a ribadire la necessità che il titolare del trattamento adempia a tutte le obbligazioni del GDPR, che si assicuri che il responsabile tratti i dati d’accordo con le sue istruzioni, e in generale che siano rispettati gli obblighi posti dal GDPR per entrambe le parti, l’Autorità spagnola evidenzia anche i seguenti requisiti:

  • che i rapporti tra le parti siano regolati da contratto o altro strumento giuridico vincolante, che contenga gli elementi di cui all’articolo 28 GDPR;
  • che nell’ambito dell’incarico sia chiarito che il responsabile deve trattare i dati personali solo sulla base delle istruzioni del titolare del trattamento, con divieto di introdurre nell’applicazione ulteriori trattamenti;
  • che il contratto preveda da parte del responsabile l’adozione di idonee misure di sicurezza e il rispetto di buone pratiche di sviluppo nonché tenga in conto, fin dalla concezione stessa dell’app, dei principi di privacy by design e by default.

Sembra quindi che il Garante consideri lo sviluppatore dell’applicazione come un soggetto che (generalmente) riveste il ruolo di responsabile del trattamento mentre, a contrario, che il committente dell’applicazione stessa, ovvero il soggetto che si occupa della sua distribuzione e sfruttamento, (generalmente) rivesta il ruolo di titolare del trattamento.

Lo stesso vademecum, peraltro, è presentato fin dalle prime righe come un provvedimento rivolto alle entità coinvolte nello sviluppo, distribuzione e sfruttamento di app, “in particolare quelli che hanno ruolo di titolare o contitolare” del trattamento dei dati personali.

Nessun cenno, invece, all’utilizzatore, e sulla possibilità che sia considerato come titolare del trattamento.

I chiarimenti della CNIL sulle app mediche

Il Garante francese affronta espressamente la questione dei ruoli e vi dedica un paragrafo del documento del 2018 sulle app mediche.

In particolare, sono ribaditi i concetti base: titolare del trattamento è colui che determina le finalità e i mezzi dello stesso; tale soggetto si deve assicurare che il trattamento dei dati personali effettuato per mezzo dell’applicazione sia conforme alla regolamentazione in tema di trattamento di dati personali; il titolare del trattamento deve procedere alle formalità necessarie preliminarmente alla messa in distribuzione dell’app.

Tuttavia, la CNIL aggiunge anche un significativo “nota bene”: non bisogna confondere lo sviluppatore dell’applicazione, ovvero colui che è responsabile della sua concezione e, eventualmente, della sua commercializzazione, con il titolare del trattamento (come a confermare, quindi, che spesso lo sviluppatore non lo è).

Si suggerisce poi di valutare in quale misura lo sviluppo dell’applicazione comporti il trattamento di dati personali, tra lo sviluppatore e l’utilizzatore (nel caso oggetto del provvedimento, il professionista sanitario) e di prevedere un accordo di contitolarità allorché si verifichi l’ipotesi di determinazione congiunta di finalità e mezzi del trattamento.

Il tema dei ruoli è affrontato dalla CNIL, nello stesso provvedimento, anche con riferimento ad una specifica casistica.

Ci si chiede, in particolare, chi sia il titolare del trattamento nel caso di app concepite da uno sviluppatore, successivamente vendute o cedute a titolo gratuito ad operatori sanitari per la gestione dei pazienti e che prevedano l’hosting dei dati da parte di un fornitore esterno.

In tal caso, l’Autorità francese è chiara nell’affermare che il titolare del trattamento è il medico oppure la struttura sanitaria all’interno della quale lo stesso opera. Il fornitore esterno dell’host assumerà invece il ruolo di responsabile del trattamento.

Conclusioni

In conclusione, la definizione dei ruoli sarà una questione da risolvere caso per caso in base al concreto atteggiarsi delle relazioni e dei flussi di dati personali, così come affermato dallo stesso WP 29, per cui “poiché tra sviluppatori di applicazioni e terzi possono esistere tipologie diverse di accordi commerciali e tecnici, la rispettiva responsabilità di ciascuna parte dovrà essere stabilita caso per caso, tenendo conto delle circostanze specifiche del trattamento in questione”.

Il consiglio, comunque, è quello di analizzare con precisione, separatamente, i vari dati trattati nel processo e le varie operazioni di trattamento, così come le varie finalità, attribuendo a ciascuna il proprio titolare.

Come infatti indicato dall’EDPS nelle linee guida del 7 novembre, è importante considerare che il “trattamento di dati personali” consiste in “qualsiasi operazione” o “insieme di operazioni” riguardanti dati personali.

Ciò significa che ogni operazione di trattamento o insieme di operazioni di trattamento può essere collegata al concetto di titolarità del trattamento: letteralmente ogni azione (raccolta, analisi, comunicazione ecc.) è una distinta operazione di trattamento anche se poi, in pratica, le singole operazioni di trattamento sono raggruppate in “insiemi di operazioni” che servono una medesima finalità.

Nell’individuare i ruoli, si consiglia di tenere in considerazione le indicazioni fornite dai Garanti nei provvedimenti sopra citati, anche valutando la (poco utilizzata) ipotesi della contitolarità avanzata dalla CNIL, che, per quanto complessa, in alcuni casi meglio potrebbe riflettere la, appunto complessa, ripartizione delle scelte circa finalità e mezzi ad opera delle parti. Validi ausili interpretativi sono forniti anche dalle linee guida dell’EDPS del 7 novembre, che contengono, oltre ad esempi e casi pratici, anche due checklist volte a identificare gli elementi più significativi in base ai quali un soggetto può considerarsi titolare o responsabile del trattamento di dati personali.

Inoltre, è consigliabile regolamentare in maniera separata la fase di sviluppo e test dell’app rispetto a quella di utilizzo a regime, posto che le responsabilità potrebbero atteggiarsi in modo diverso.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, sarebbe opportuno seguire il criterio già fornito dal WP nel parere 1/2010, e che spesso si tende a dimenticare: in caso di dubbio sull’allocazione dei ruoli, dovrebbe essere preferita la soluzione più adatta a garantire un’efficace applicazione e osservanza delle norme sulla protezione dei dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5